Une faille chez GitLab largement exploitée quatre mois après sa découverte
La brèche sécuritaire dans GitLab, qui avait été découverte au début de cette année, est entre-temps fortement exploitée. Des milliers d’utilisateurs n’ont en effet pas encore installer le correctif disponible pourtant depuis le mois de janvier.
Le risque sécuritaire trouve son origine en mai de l’année dernière, lorsqu’une mise à jour de GitLab permit aux utilisateurs de réinitialiser leur mot de passe au départ d’une seconde adresse e-mail. En janvier, l’éditeur de logiciels annonça que cela offrait aux hackers la possibilité de prendre sous contrôle un compte à partir d’adresses mail – du moins s’il ne nécessitait pas une authentification multi-facteur. La faille subsistait même avec cette dernière, sans que des hackers aient accès à un compte.
Portes dérobées
Bien que GitLab ait immédiatement mis à disposition un correctif lors de la découverte de la brèche au début de l’année, de nombreux utilisateurs ne semblent pas l’avoir encore installé. En attendant, la faille est largement exploitée, selon la Cybersecurity and Infrastructure Security Agency (CISA) du gouvernement américain.
Comme le logiciel de GitLab a accès aux différents environnements de développement des utilisateurs, les agresseurs sont à même de saboter des projets, de les modifier, voire d’installer des portes dérobées dans les logiciels qui y sont développés.
Surtout en Inde
Selon les analyses internet effectuées par Shadowserver, plus de 2.100 adresses IP hébergent déjà une ou plusieurs instance(s) GitLab vulnérable(s). La plupart d’entre elles se trouvent en Inde, mais de nombreuses adresses américaines, indonésiennes, algériennes et thaïlandaises présentent également des failles. Selon Shadowserver, il est cependant question d’une baisse significative par rapport au 22 janvier, une semaine après que GitLab a mis à disposition son correctif, lorsque 5.300 adresses vulnérables avaient été détectées.
Même si le correctif empêche la prise de contrôle d’un compte, il ne répare pas les systèmes qui sont déjà exploités. L’entreprise a mis à disposition un guide pour faire face à de tels incidents.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici